简介:这是V神本系列文章的第三部分的下半部分,解释了zk-SNARKs背后的技术是如何运作的;以前关于二次运算程序和椭圆曲线配对的文章是必读的,本文将假设你已经知道这两个概念,并了解zk-SNARKs的基本知识和它们的作用。另请参阅另外一篇对zk-SNARKs的介绍,Christian Reitwiessner的文章。
(本文授权BH好文好报群摘编、转载以及相关转授权推文行为)
(下面接着上半部分讲解)
下一步是确保所有三个线性组合具有相同的系数。我们可以通过向可信设置添加另一组值来实现:G *(A_i(t)+ B_i(t)+ C_i(t))* b,其中b是应被视为“有毒废物”的另一个数字,一旦可信设置完成就丢弃。然后我们可以让证明者,使用相同的系数创建具有这些值的线性组合,并使用与上述相同的配对技巧,来验证该值与提供的A + B + C是否匹配。
最后,我们需要证明A * B - C = H * Z.我们再次进行配对检查:
e(π_a,π_b)/ e(π_c,G)?= e(π_h,G * Z(t))
其中π_h= G * H(t)。如果你看不出此等式与A * B - C = H * Z之间的衔接关系,请返回并阅读有关配对的文章。
我们在上面看到了如何将A,B和C转换为椭圆曲线上的点; G只是生成器(即,这个椭圆曲线点G相当于数字中的1)。我们可以将G * Z(t)添加到可信设置中。 H更难计算; H只是一个多项式,对于每个QAP的解来说,我们很难提前预测它的系数。因此,我们需要向可信设置添加更多数据;特别是序列:
G,G * t,G *t²,G *t³,G *t⁴......
在Zcash可信设置中,此处的序列大约为200万;想想看你需要耗费多大的算力才能确保你能计算H(t)。由此,证明者可以为验证者提供所有信息以进行最终检查。
还有一个我们需要讨论的细节。大多数时候,我们不仅仅想抽象地证明某些特定问题存在某种解决方案;相反,我们想要证明某些特定解决方案的正确性(例如,证明:如果把“cow”这个词用SHA3算法哈希一百万次,最终结果从0x73064fe5开始),或者如果限制一些参数就一定存在一个解。例如,在加密货币的实现中,交易金额和帐户余额已加密,您需要证明您知道某些解密密钥k,以便:
decrypt(old_balance,k)≥deconspt(tx_value,k)
decrypt(old_balance,k) - decrypt(tx_value,k)= decrypt(new_balance,k)
加密后的old_balance,tx_value和new_balance需要公开出来,因为这些是我们在特定时间要查看的具体值;只有解密密钥需要被隐藏。需要对协议进行一些细微的修改才能创建一个“自定义验证密钥”,该密钥对应于对输入的某些特定限制。
现在,让我们退一步吧。首先,这里是完整的验证算法,由Ben Sasson,Tromer,Virza和Chiesa提供:
第一行进行参数化处理; 实质上,您可以将其功能视为为指定某些参数的特定问题实例创建“自定义验证密钥”。第二行是A,B和C的线性组合检查;第三行是检查线性组合是否具有相同的系数,第四行是检查A * B - C = H * Z.
总而言之,验证过程是一些椭圆曲线乘法(每个“公共”输入变量一个)和五个配对检查,其中一个包括额外的配对乘法。提供的证明包含八个椭圆曲线点:A(t),B(t)和C(t)各一个点,b *(A(t)+ B(t)+ C(t))的点π_k , 和H(t)的点π_h。其中7个点位于F_p曲线上(每个32个字节,因为您可以将y坐标压缩为1bit),在Zcash实现中,另一个点(π_b)位于F_p²(64字节)的扭曲曲线上,因此证明的总大小约为288字节。
创建证明的两个计算难度最大的部分是:
- 进行(A * B - C)/ Z得到H(基于快速傅立叶变换的算法可以在次二次时间内完成此操作,但它仍然计算量很大)
- 进行椭圆曲线乘法和加法以创建A(t),B(t),C(t)和H(t)的值及其对应的配对
创建证明很困难,它的原因是,因为我们要进行零知识证明,原始计算中的单个二进制逻辑门就必须变成通过椭圆曲线进行加密处理的操作。这一事实以及快速傅立叶变换的超线性,意味着Zcash交易中创建证明需要花费大约20-40秒。
另一个非常重要的问题是:我们可以尝试使可信设置稍微......对信任要求不高吗?不幸的是,我们无法让它完全无信任; KoE假设本身倒是排除了,在不知道k是什么的情况下形成独立对(P_i,P_i * k)的可能性。但是,我们可以通过使用N-of-N多方计算来大大提高安全性 - 也就是说,构建N方之间的可信设置,只要至少有一个参与者删除了他们的有毒废物然后你就可以了。
为了让你对如何做到这一点有一点感觉,这里有一个简单的算法,用于获取现有的集合(G,G * t,G *t²,G *t³......),并“加入”你自己的秘密,因此你需要你的秘密和以前的秘密(或以前的秘密的集合)才能作弊。
输出集很简单:
G,(G * t)* s,(G t²)s²,(G t³)s³......
请注意,除了现在使用t * s作为“有毒废物”而不是t之外,您可以仅知道原始集合和s, 以及与旧集合功能相同的新集合。只要您和创建前一集合的人(或人们),删除有毒废物没有都失败并且后来还串通了,那么该组就是“安全的”。
为完整的可信设置执行此操作要困难得多,因为涉及多个值,并且算法必须在多方之间经过若干轮才能完成。这是一个积极研究的领域,看看多方计算算法是否可以进一步简化,并且需要更少的轮次或更多的可并行化,因为如果能做到这些,就能让更多的参与方参与到可信的设置程序中。有理由看到为什么六个参与者之间的可信设置可能会让一些人感到不舒服,但是有数千名参与者的可信设置,几乎等同于去信任 —— 如果你真的是偏执狂,您可以自己进入并参与设置程序,并确保您个人删除了您的有毒废物。
另一个积极研究的领域是,不使用配对和这样可信设置,用其他方法来实现相同的目标。请参阅Eli ben Sasson最近的一个演示文稿(还是要提醒一下,它在数学上,至少与SNARKs一样复杂!)
特别感谢Ariel Gabizon和Christian Reitwiessner的审阅。
早赞声明:为方便早赞、避免乱赞,“BH好文好报群”为点赞者、写作者牵线搭桥,实行“先审后赞、定时发表”的规则,也让作品脱颖而出、速登热门!加群微信:we01230123(天平)。